Q:인터넷, 모바일, TV 등 전자금융 거래 통로가 다양해졌다. 보안의 중요성은 몇 번을 강조해도 지나치지 않다. 각종 보안사고를 최소화하기 위한 방법은 무엇일까.
A:보안에 대한 투자는 보험 가입과 유사하다. DDoS공격, 좀비PC, 스마트폰 악성코드, 내부정보 유출사고, 개인정보 유출사고 등에 대비해 가입해야 할 보험이 너무도 많다. 게다가 클라우드 보안, 빅데이터 보안 등 계속 신규 상품이 출시되고 있는 점을 감안하면 부담스러울 정도다. 그러다보니 보안의 A부터 Z까지 투자하는 경우 예산 문제에 부닥칠 수밖에 없다.
따라서 안전한 전자금융 기반 조성을 위해 정보보안에 대한 투자는 반드시 계획적이고 단계적으로 이루어져야 한다. 그 첫 단추는 `정보보호정책(Security Policy)`에서 출발해야 한다.
정보보호정책은 사내 규정으로 만들고 개인정보보호법, 전자금융거래법 등 관련법령을 적용하는 것은 물론이고 내부 보안사고에 따른 책임 추적이 가능하도록 그 기준을 명확하게 해야 한다.
보안사고는 언제든 일어날 수 있다. 문제는 보안사고를 최소화하기 위해 어떤 방법을 취했는지, 직원들이 정보보호 의식을 고취하기 위해 어떤 노력을 했는지 그리고 얼마만큼 어떤 기준에 따라 정보보호예산을 투자했는지 등에 달려 있다.
정보보호정책을 만드는 것은 쉽지 않다. 관련 법령, 보안사고에 따른 영향분석, 내부자 사고 방지 대책 등 꼼꼼하게 따져야 할 것이 많다.
이를 위해 금융ISAC(금융정보공유분석센터) 등을 통한 `정보보호정책수립 보안컨설팅`을 받아볼 것을 권고한다. 홈페이지 취약점 점검 컨설팅, 전자금융서버 취약점 점검 컨설팅, 개인정보보호컨설팅 등 컨설팅 종류가 다양하지만 그 가운데 가장 중요한 것은 정보보호정책과 마스터플랜 수립을 위한 종합보안컨설팅이다.
이와 함께 정보보호정책 및 지침은 매년 정보보호 트렌드와 기관의 사업 방향 그리고 관련 컴플라이언스에 부합되도록 매년 갱신되고 관리돼야 한다는 점도 간과해서는 안 된다.
이준호 코스콤 인프라사업부 차장
